Actividad 1 Evidencia 5

Plan de Mejora “ISO

27002”
Especialización Gestión y Seguridad de Bases de Datos
Sena Virtual

Luis Alfredo Pinzón Cuartas

20/06/2019
 NORMA ISO/IEC 27002

La norma ISO 27002 proporciona diferentes recomendaciones de las mejores

prácticas en la gestión de seguridad de la información a todos los interesados y
responsables para iniciar, implementar o mantener sistemas de gestión de la
seguridad de la información. La seguridad de la información se define en el
estándar como “la preservación de la confidencialidad, integridad y disponibilidad.
ISO 27002 hace parte del conjunto de normas que conforman la serie ISO/IEC
27000 en las que se reúnen las mejores prácticas para desarrollar, implementar y
mantener sistemas de gestión de seguridad de información.
La norma ISO 27002 se compone de 11 dominios (del 5 al 15), 39 objetivos de
control y 133 controles; que están distribuidos como se observa en la siguiente
estructura:
1. Políticas de seguridad: es la que define la documentación de todos los
procedimientos internos de la organización, para que sirvan de soporte para
los comités de seguridad que revisa y actualiza cada procedimiento.

2. Estructura organizativa para la seguridad: como su nombre lo indica es

la parte donde se estructuran la documentación de las políticas de
seguridad generando expectativa sobre la seguridad.

3. Clasificación y control de activos: en esta parte se elaboran los

Inventarios de cada activo que se relacione con recursos informáticos,
generando un etiquetado con rangos según su confidencialidad, como por
ejemplo los Computadoras, Bases de Datos, Documentación, Equipos de
red entre otros.

4. Seguridad en el personal: se aclara con el personal, que tiene a cargo

información netamente de la organización que esta es confidencial y que
debe acatar las normas de seguridad de la información no revelando ni
extrayendo dicha información. Siguiendo procesos adecuados para la
manipulación de la información y causas del incumplimiento de esta.

5. Seguridad física y del entorno: es donde se elaboran las medidas

necesarias para la protección de equipos y software, de manera que cada
activo este resguardado ante cualquier tipo de eventualidad que se
ocasione ya sea por la naturaleza o por manipulación humana.

6. Gestión de comunicaciones y operaciones: en este ítem se busca

generar procedimiento para la infraestructura tecnológica y de control de
seguridad debidamente documentada, ya sea desde cambios,
configuraciones, advertencias, administración, etc…

7. Control de accesos: para ello se realiza control de cada proceso de

manera que pueda ser monitoreando, creando perfiles, accesos a activos
distintos a la organización.

8. Desarrollo y mantenimiento de sistemas: donde se estipula

procedimientos para garantizar calidad y seguridad de cada sistema creado
para cada proceso o tarea.

9. Gestión de continuidad del negocios: se debe contar con planes de

respaldo para cualquier eventualidad ante desastres o manipulación
indebida, asegurando que siempre se cuente con la continuidad de los
servicios mas primordiales.
 10. Cumplimiento o conformidad de la legislación: es la parte jurídica del
cumplimiento de la norma donde se estipulen, requisitos, contratos,
convenios los cuales involucren a todas las partes para tener una
formalización adecuada.

Objeto de la Auditoria

 Evaluar el estado Actual de la organización bajo la norma 27002.

 Revisar condiciones de seguridad y generar una evaluación de la misma.
 Generar plan de mejora para los hallazgos bajo la norma.

Auditoria
Hallazgos Encontrados:

Al realizar la evaluación de la organización se encontró que hay procesos creados

de forma adecuada y algunos que aún no existen y podrían mejorar la situación
actual de la organización para ello se genera una lista de Aspectos Conformes y
No Conformes, los cuales tienen como fin, estipular las faltas que se deben tomar
acciones inmediatas para subir los estándares evaluados.
Conformidades:
 Se identifican que se cuenta con un estricto manejo de control de acceso a
personal a la organización ya sea Personal vinculado o Estudiantes.

 La infraestructura está ubicada en áreas idóneas y de forma

correspondiente a su referencia y ubicación del inventario.

 Los Activos se distribuyen de forma que se identifican los perfiles de

prioridad que tienen como Servidores, Equipos Administradores,
Documentación física, se encuentran debidamente aseguradas.

 Los Activos se encuentran en buenas condiciones para su uso diario como

los Computadores, Equipos de Red, impresoras, etc… y debidamente
etiquetados.

 Cada equipo cuenta con su licenciamiento para operar de manera

adecuada, y se evidencia protección contra Software malintencionado como
Virus, y accesos no autorizados.
No Conformidades:
o Se recomienda que la política de seguridad se especifique los
procedimientos completos para el uso de las herramientas de la
empresa.

o Se establece que se deben realizar más control con los acuerdos de

confidencialidad, y procedimientos con las autoridades competentes
ante la violación de los mismos.

o Se recomienda adquirir más control sobre los Activos que no tienen

control de Administradores, y en los mismos se puede Manipular
información de la organización.

o Realizar Monitoreo constante de la Información que se genera y se

resguarda en los equipos con menor perfil.

o Generar Copias de Seguridad de manera más continua para evitar

pérdidas de información ante alguna eventualidad.

o Realizar más control de acceso a máquinas de Administradores

como roles de cada usuario.

o Control de Adquisiciones de la organización tanto como de software

y Hardware de los equipos, y realizar mantenimientos de
aplicaciones instaladas por terceros no licenciadas.

o Uso de Restricciones de Paginas no recomendables para la

búsqueda en los equipos como la utilización de protección de Datos
sensibles en cada equipo.

o Se recomienda el control con el acceso de la red de dispositivos

móviles y dispositivos no registrados para la conexión WIFI.

o Se establece que se debe contar con atención a fallas en tiempo real

para evitar problemas de pérdida de información de manera
secuencial creando procedimiento de atención y seguimiento de
fallos.